La Prof.ssa Virginia Zambrano è PhD in Diritto Civile presso l'Università di Napoli, attualmente è docente…
Intervista al Dott. Filippo Bagni. L’Intelligenza Artificiale Generativa in Europa: regolazione attuale e prospettiva futura.
Filippo Bagni (*) è un avvocato e ricercatore specializzato nella regolazione dell’ecosistema digitale, in particolare in tema di Intelligenza Artificiale e Cybersicurezza. Attualmente svolge un dottorato presso la Scuola IMT Alti Studi di Lucca e ricopre il ruolo di Legal Officer presso la Direzione Generale Connect della Commissione Europea a Bruxelles. La sua carriera professionale e accademica è caratterizzata da una vasta gamma di competenze acquisite in campo legale, economico e tecnologico. È autore di numerose pubblicazioni in tema di diritto delle nuove tecnologie.
(*) Le opinioni e i pareri espressi sono esclusivamente dell’autore e non riflettono o rappresentano alcuna politica o posizione ufficiale della Commissione europea.
Il Dott. Filippo Bagni
Si parla molto di regolazione dell’Intelligenza Artificiale, in particolare di Intelligenza Artificiale Generativa. Potrebbe spiegare in modo semplice e accessibile a tutti cosa si intende per Intelligenza Artificiale Generativa e come funziona?
L’intelligenza artificiale (IA) mi ricorda il meteo a Bruxelles: tutti ne parlano, pochi ne comprendono il funzionamento, e alla fine c’è sempre il timore che possa improvvisamente cambiare.
Lo scienziato Marvin Minsky definiva l’IA come la scienza di far fare alle macchine cose che richiederebbero intelligenza se fatte dagli uomini. In questo senso, l’IA si potrebbe definire come la tecnologia che cerca di replicare le capacità cognitive umane nelle macchine, al fine di creare sistemi intelligenti e autonomi.
Non si tratta di un concetto nuovo. Già nel 1950 Alan M. Turing, considerato da molti il padre dell’informatica, pubblicava un articolo nel quale poneva la domanda fondamentale alla base di questa tecnologia: le macchine possono pensare? Questo quesito assume oggi ancora maggiore rilevanza alla luce delle incredibili potenzialità di una innovativa applicazione di questa tecnologia: l’IA cosiddetta “Generativa”.
Per dare una prima e semplice definizione della IA Generativa, la tentazione è quella di chiedere direttamente alla macchina, come ad esempio il celebre chatbot “ChatGPT”. Ecco la risposta: “l’IA Generativa è un tipo di tecnologia che utilizza algoritmi di apprendimento automatico addestrati su grandi quantità di dati esistenti, per generare contenuti nuovi e originali, potenzialmente complessi e simili a quelli creati dall’uomo”. In sintesi, l’elemento che caratterizza questo tipo di tecnologia è la capacità della macchina di creare ex novo diversi tipi di contenuti, come testo, immagini, audio o video. Da qui il termine qualificante “Generativa”.
Nella definizione fornita emergono già alcuni degli elementi di successo di questa tecnologia: grande accessibilità, qualità del risultato, velocità di sviluppo, capacità adattamento a diversi tipi di utilizzo.
Per comprenderla ancora meglio, e fornirne una immagine più concreta, possiamo immaginarci un sistema di scatole cinesi in cui la prima scatola è l’IA generalmente intesa, la seconda è il machine learning (apprendimento automatico), la terza è il deep learning (apprendimento profondo) e la quarta è proprio l’IA Generativa. Il machine learning è una tecnologia di IA che consente alle macchine di apprendere in modo automatico da esempi preesistenti, senza la necessità di essere esplicitamente programmate. Il deep learning, invece, è una tecnologia di machine learning avanzata che permette alle macchine di apprendere (in modo automatico) utilizzando dati complessi a più livelli, grazie a modelli matematici sofisticati, e di effettuare previsioni accurate sulla base di tali dati.
Ciò detto, possiamo “azzardare” una definizione più articolata: l’IA Generativa è un tipo di tecnologia basato sulla IA (prima scatola), che utilizza sistemi capaci di aumentare in modo automatico le proprie capacità di apprendimento sulla base di dati (seconda scatola), per mezzo di reti neuronali artificiali che mettono in correlazione i dati ricevuti a più livelli per raggiungere risultati progressivamente più elevati nel tempo (terza scatola), con il risultato ultimo di generare contenuti nuovi e simili a quelli di addestramento (quarta scatola).
Questa tecnologia permette ad un chatbot di predire, per esempio in un contesto di parole mancanti, quale sia la parola più probabile, sulla base di un addestramento effettuato su una vasta quantità di dati. Se si chiede alla macchina di completare la frase “stasera porto fuori il…” questa darà la risposta più plausibile per l’uomo sulla base dell’addestramento ricevuto, cioè probabilmente: “… cane”.
Grazie all’ottimizzazione continua fondata sull’apprendimento automatico e profondo, la macchina è in grado di sviluppare “abilità emergenti” sempre più raffinate, che le permettono di dialogare su qualsiasi argomento e risolvere problemi complessi, sempre simulando il comportamento umano in modo convincente.
Quali crede siano le sfide e i rischi principali che l’Unione Europea deve affrontare in merito alla regolazione dell’Intelligenza Artificiale Generativa al fine di conciliare l’innovazione tecnologica e la tutela dei diritti dei cittadini?
Il proposito di regolare l’IA Generativa rappresenta una sfida estremamente complessa, che ha scatenato un acceso dibattito tra i sostenitori di una regolamentazione stringente e coloro che, al contrario, propendono per uno sviluppo tecnologico senza vincoli. Un dibattito molto articolato, che tocca anche questioni filosofiche fondamentali, come il significato stesso del concetto di umanità.
A mio avviso, l’IA, in particolare nella sua forma Generativa, richiede al regolatore un approccio rigorosamente neutrale, basato sulla consapevolezza che ogni tecnologia presenta sia vantaggi che rischi. È fondamentale partire dal presupposto che ogni forma di regolazione di un fenomeno in continua evoluzione comporta, di per sé, il rischio di limitarne lo sviluppo. Tuttavia, l’obiettivo ultimo del regolatore europeo deve essere quello di trovare un punto di incontro – difficile ma necessario – tra regola e sviluppo tecnologico.
Una prima importante sfida da affrontare nella regolazione dell’IA Generativa è proprio quella di trovare un equilibrio tra regole e innovazione, evitando di frenare la crescita e lo sviluppo di questa tecnologia. L’Unione Europea, pioniera nella regolazione dell’IA a livello mondiale, ha fatto del principio di innovazione responsabile un punto di riferimento fondamentale nel suo programma strategico per il decennio digitale.
In secondo luogo, per una regolamentazione efficace, è necessario avere una profonda comprensione di questa tecnologia, al fine di prevedere la sua direzione di sviluppo e definire una chiara visione politica di tutela degli interessi in gioco. Anche questa seconda sfida presenta numerose difficoltà, poiché richiede una combinazione di conoscenze tecniche, politiche e sociali di alto livello.
Altra fondamentale “battaglia” resta poi quella connessa alla tutela dei dati. Il GDPR rappresenta un pilastro della regolazione dell’IA e recentemente abbiamo potuto osservare come la garanzia della privacy sia al centro delle campagne pubblicitarie di alcune delle più importanti aziende tech mondiali (es. Apple). Il “lucchetto” è sempre più un simbolo di marketing e il regolatore europeo è chiamato al compito tutt’altro che semplice di far coesistere in modo efficace il valore della privacy con quello dell’innovazione tecnologica.
Allargando lo sguardo, tra le sfide più significative vi è sicuramente quella di garantire che la macchina agisca in modo trasparente e sia addestrata su dati di qualità. Ciò è fondamentale per evitare che la macchina produca risultati negativi a causa di una “cattiva educazione” dovuta a dati inaccurati e/o distorti. È essenziale assicurare una elevata tutela in contesti particolarmente vulnerabili a questa tecnologia, come ad esempio durante i periodi elettorali o per quanto riguarda la presenza di minori online. In questo senso, le responsabilità ricadono principalmente sui detentori di questa tecnologia, le cosiddette Big Tech. Instaurare un dialogo regolatorio costruttivo con questi soggetti rappresenta, a sua volta, un compito altamente complesso.
Da un punto di vista sociale, invece, una grande sfida a livello europeo è quella di promuovere una maggiore consapevolezza e alfabetizzazione digitale attorno all’IA Generativa, allo scopo di abilitare le persone a utilizzare questa tecnologia in modo responsabile e funzionale. A tal fine, è essenziale educare gli utenti a fornire input di qualità e utilizzare l’IA Generativa come strumento di supporto all’attività umana, senza accettare ogni risposta fornita dalla macchina come verità assoluta in sostituzione del proprio ragionamento critico. In questo senso, Singapore rappresenta un esempio virtuoso, in quanto primo paese al mondo a lanciare a livello nazionale un corso di “demistificazione” dell’IA per il pubblico (“AI For Citizens“) e ad offrire corsi gratuiti di IA per gli studenti delle scuole secondarie, dei college e delle università (“AI Student Outreach Programme“).
Rischi significativi emergono poi dall’interazione tra l’IA ed altre tecnologie. Tra questi, la capacità’ di generare contenuti artificiali e la loro potenziale diffusione su larga scala tramite i social network presentano numerose potenziali applicazioni dannose per la società. Una su tutte: la disinformazione online.
Un recente test condotto da AI21 Labs LTD nel 2023 ha evidenziato quanto sia facile essere ingannati da contenuti generati da IA: oltre il 30% delle persone coinvolte dal test non ha riconosciuto di stare parlando con una macchina. Questo fenomeno assume grande rilevanza se consideriamo il contesto di iper-connessione in cui viviamo attualmente.
Oggigiorno molti diritti fondamentali sono esercitati online e gran parte delle informazioni vengono reperite senza alcuna intermediazione. In questo scenario, è evidente come la capacità dell’IA Generativa di creare contenuti che sembrano reali porti con sé il rischio significativo della diffusione massiva di informazioni false e fuorvianti, con conseguenze negative su tutta la società. Diventa quindi cruciale sapere con certezza con chi stiamo interagendo e con che tipo di informazioni ci stiamo interfacciando.
In un mondo in cui la tecnologia può simulare il comportamento umano con un simile livello di accuratezza, è essenziale anzitutto garantire la trasparenza nei confronti del singolo utente. Le persone hanno il diritto di sapere se stanno interagendo con una persona o con una macchina, e se il contenuto che stanno vedendo è reale o stato creato artificialmente. Per questo motivo, è importante che la tecnologia generativa si dichiari come tale all’utente e che i contenuti generati siano efficacemente essere contrassegnati e riconoscibili.
In termini più ampi, la attuale iper-connessione sociale rende i potenziali effetti negativi di una distorsione della realtà operata su larga scala un rischio rilevante in termini di disinformazione e/o manipolazione delle informazioni. Basti pensare all’impatto potenziale della circolazione di deep fakes durante le campagne elettorali, che possono influenzare significativamente gli equilibri politici. La differenza tra un’immagine umoristica, come quella del Papa in abiti da rapper, che può essere vista come un semplice scherzo, e un falso messaggio che riporta una falsa dichiarazione di sostegno da parte di una celebrità come Taylor Swift nei confronti di un politico sui maggiori social durante le elezioni americane, è profonda. Nel secondo caso, la distorsione della realtà può avere conseguenze concrete e significative sulla formazione dell’opinione pubblica e sull’esito delle elezioni.
La tecnologia generativa non solo presenta rischi di disinformazione a livello collettivo, ma anche nella sfera personale degli utenti. Non si può infatti trascurare che le conversazioni One-to-One con i chatbots delle proprie applicazioni (ChatGPT, MyAI su Snapchat, Copilot su Bing, Grok su X) siano ormai una realtà quotidiana per molti utenti e possono anch’esse rappresentare un importante canale di diffusione di informazioni inaffidabili.
Un recente studio ha messo alla prova alcuni famosi chatbot con domande di natura politica, rilevando in risposta numerose informazioni errate o fonti inattendibili. Sebbene non tutte le informazioni scorrette abbiano lo stesso peso, è importante riconoscere che alcune possono avere conseguenze gravi. Ad esempio, un cattivo consiglio su un ristorante può essere fastidioso, ma un’informazione fallace su un politico può avere effetti devastanti sull’ordine democratico. È quindi essenziale assicurarsi che le risposte fornite dai chatbots siano accurate, attendibili e non contribuiscano a fenomeni di polarizzazione, ne’ alla diffusione di risposte inesatte o fallaci (le cosiddette “allucinazioni”).
Quali sono le prospettive della regolamentazione dell’Intelligenza Artificiale Generativa in Europa?
Come è noto, la normativa principale in ambito di IA è il Regolamento europeo sull’Intelligenza Artificiale denominato “AI Act”. L’AI Act, in quanto regolazione di prodotto (security product regulation), non disciplina direttamente l’IA Generativa intesa come tecnologia, bensì considera i “grandi modelli di IA generativi” come una sottocategoria dei “modelli di IA per finalità generali”, poiché consentono di generare contenuti flessibili (testo, audio, immagini, video) che possono rispondere a una vasta gamma di compiti distinti. In sostanza, la normativa europea principale in tema di IA Generativa risiede nell’attuale disciplina prevista dall’AI Act per i cosiddetti “modelli di IA per finalità generali” (general purpose AI models).
In questa sede non è possibile entrare nel dettaglio di una disciplina così complessa. Tuttavia, è importante sottolineare che l’AI Act è un regolamento basato su un approccio fondato sul rischio (risk based approach), secondo il quale a maggiori rischi corrispondono maggiori obblighi. Sulla base di questo principio, l’AI Act prevede per i modelli di IA per finalità generali, compresi quindi quelli generativi, regole più stringenti rispetto ad altri prodotti e questo perché’ considerati portatori di rischi rilevanti.
Il regolatore europeo, infatti, ha ritenuto di per sé rischioso un modello fondato su di una tecnologia addestrata su una elevata quantità di dati e caratterizzata da una generalità significativa che le permette di svolgere un’ampia gamma di compiti distinti, con applicazioni non sempre predeterminabili. Pertanto, per questi modelli, il regolamento prevede regole specifiche ed un sistema di governance “centralizzato”, che attribuisce alla Commissione europea, attraverso l’AI Office, un ruolo diretto nell’applicazione della normativa.
Volendo semplificare, con l’AI Act il regolatore europeo ha deciso di adottare un approccio prudente nei confronti dell’IA Generativa. In sintesi, un sistema di IA basato sulla tecnologia generativa può essere commercializzato nel mercato europeo solo se supera una serie di valutazioni e misure tecniche rigorose, volte a garantire il rispetto dei requisiti di trasparenza e sicurezza previsti dalla regolamentazione. L’obiettivo è quello di mitigare i potenziali rischi connessi a questa tecnologia e assicurare che i sistemi di IA basati sulla tecnologia generativa siano sicuri e trasparenti prima di essere messi a disposizione dei consumatori.
Tuttavia, è importante notare che l’adozione del Regolamento europeo sull’Intelligenza Artificiale rappresenta solo il primo passo di un processo di regolazione complesso e articolato. L’AI Act, infatti, è entrato in vigore il 1° agosto del 2024, ma la sua applicazione pratica sarà graduale fino al 2027, al fine di consentire alle aziende di adeguarsi alle nuove norme. In questo contesto, la Commissione europea ha promosso il cosiddetto “Patto per l’IA” (AI Pact), un’iniziativa volta a supportare le parti interessate nella preparazione all’attuazione dell’AI Act e a anticipare alcune delle regole previste dalla regolamentazione.
Nel frattempo, un altro importante regolamento europeo ha già iniziato a giocare un ruolo importante nella regolazione della IA Generativa: il Digital Services Act (DSA).
Il DSA si propone di creare un ambiente online sicuro e affidabile, regolamentando il mercato dell’intermediazione di contenuti online, che fino a quel momento era caratterizzato da una carenza di normative specifiche, nonostante la sua crescente importanza. In particolare, il regolamento disciplina le attività delle piattaforme e dei motori di ricerca online per tutelare i diritti fondamentali delle persone e rendere più responsabili i fornitori di servizi digitali, anche attraverso la possibilità di irrogare sanzioni. I principali destinatari delle disposizioni più innovative della normativa sono le cosiddette “grandi piattaforme online”, tra cui Meta, Amazon, Google, Apple, TikTok, X, YouTube e altre ancora.
Nel contesto operativo del DSA, la Commissione europea ha preso un’iniziativa importante a marzo 2024 rivolgendosi direttamente alle grandi piattaforme online per richiedere documenti e informazioni dettagliate sui potenziali rischi legati all’impatto dell’IA Generativa nelle loro attività, in particolare con riferimento ai processi elettorali e alla protezione dei minori online. Inoltre, la Commissione ha pubblicato linee guida specifiche che indicano le misure raccomandate per le piattaforme online per attenuare i rischi sistemici online che possono incidere sull’integrità delle elezioni.
Una sezione dedicata di queste linee guida si concentra sulla raccomandazione di azioni per evitare la creazione e diffusione di contenuti di IA generativi potenzialmente dannosi, come le allucinazioni e i deep fakes. Tra le prescrizioni operative suggerite, figura l’uso di strumenti efficaci di “etichettamento” di contenuti generati dall’IA (watermarking), che aiutino a identificare e distinguere i contenuti generati dall’IA da quelli reali.
Quanto delineato dimostra che l’Europa ha già avviato azioni concrete per mitigare i potenziali rischi connessi alla IA Generativa. In questo contesto, AI Act e DSA sono normative complementari che devono lavorare in sinergia rispettando i rispettivi campi di applicazione. L’IA Generativa rappresenta un punto di incontro tra le due normative, dove l’AI Act si concentra maggiormente sulla “creazione” del contenuto generato dall’IA, regolamentando gli sviluppatori e produttori di sistemi di IA e assicurando che siano progettati e sviluppati in modo responsabile, mentre il DSA vigila sulla “diffusione” di tale contenuto, responsabilizzando le piattaforme online e assicurando che individuino e blocchino la diffusione di contenuti potenzialmente dannosi per la società. In questo modo, le due normative lavorano insieme per garantire che l’IA Generativa sia utilizzata in modo sicuro e responsabile, proteggendo i diritti dei cittadini e il mercato interno.
Nel Suo articolo, The Regulatory Sandbox and the Cybersecurity Challenge: from the Artificial Intelligence Act to the Cyber Resilience Act, ha esplorato il concetto di “regulatory sandboxes” applicato alla regolazione dell’Intelligenza Artificiale e della Cybersicurezza. Potrebbe spiegare come questo strumento possa essere utilizzato per testare nuove tecnologie in modo sicuro e conforme alle norme?
Sono lieto di approfondire l’argomento delle regulatory sandboxes, una tematica centrale nella mia ricerca di dottorato e uno strumento regolatorio nelle cui potenzialità credo fermamente.
Le regulatory sandboxes (o “spazi di sperimentazione normativa”) sono ambienti controllati in cui le aziende possono testare prodotti innovativi per un tempo determinato. L’obiettivo è promuovere l’innovazione digitale, agevolando lo sviluppo e la sperimentazione di prodotti prima dell’ingresso nel mercato, in linea con le norme europee. Questi strumenti sono rivolti principalmente a imprese operanti in settori altamente regolamentati (ad esempio, bancario-finanziario) o tecnologicamente avanzati (ad esempio, prodotti digitali), con un focus su PMI e startup.
La peculiarità delle regulatory sandboxes è la sperimentazione in dialogo costante con le autorità di vigilanza responsabili di verificare la conformità del prodotto una volta inserito nel mercato, beneficiando di un regime transitorio semplificato nel quale alcune regole prestabilite possono trovare eccezionalmente deroga.
In particolare, le regulatory sandboxes si basano su un modello di reciproco vantaggio tra i soggetti coinvolti (win-win). Da un lato, questi strumenti sostengono la crescita e l’innovazione del mercato e delle aziende, facilitando l’introduzione di prodotti e servizi tecnologicamente avanzati. Dall’altro, garantiscono livelli adeguati di protezione dei consumatori e della concorrenza, grazie a un costante dialogo con le autorità competenti. Inoltre, le autorità stesse acquisiscono una maggiore consapevolezza delle attività degli operatori e sviluppano competenze utili per la supervisione.
Sebbene il concetto di regulatory sandboxes non sia nuovo, l’AI Act introduce un’innovazione significativa riconoscendo formalmente questi spazi sperimentali nel settore dell’intelligenza artificiale e denominandoli “AI regulatory sandboxes“.
Tra le numerose disposizioni ad hoc previste dall’AI Act per questi spazi, vi è l’obbligo per ogni Stato membro di istituire uno spazio di sperimentazione nazionale entro agosto 2026. L’Italia sarà quindi chiamata a dotarsi di uno spazio di sperimentazione normativa in cui le aziende potranno testare i loro sistemi di IA prima del lancio sul mercato, sotto la supervisione attenta delle autorità competenti, probabilmente l’Agenzia per l’Italia Digitale (AGID) e l’Agenzia per la Cybersicurezza Nazionale (ACN).
Ritornando al tema dell’IA Generativa, non sono previste limitazioni specifiche per i sistemi di IA che possono essere oggetto di sperimentazione all’interno delle AI sandboxes. Pertanto, se la regolazione di secondo grado non prevederà diversamente, anche i modelli di IA per finalità generali, compresi quelli generativi, potranno essere testati all’interno di questi spazi.
Nel mio articolo ho analizzato lo strumento delle regulatory sandboxes, la loro disciplina e le interazioni tra l’AI Act e il Cyber Resilience Act (CRA). Quest’ultimo è un regolamento di prodotto volto a garantire l’ingresso sul mercato di prodotti digitali hardware e software con un elevato grado di Cybersicurezza.
Dall’analisi dei due regolamenti emergono almeno due punti di incontro significativi. In primo luogo, l’AI Act richiede ai fornitori di modelli di IA per finalità generali, quindi anche quelli generativi, di garantire un livello “adeguato” di protezione della Cybersicurezza del modello per l’intero suo ciclo di vita. Ciò significa che la Cybersicurezza rappresenta un requisito fondamentale nella progettazione e nello sviluppo di sistemi di IA.
In secondo luogo, l’intersezione tra le due normative è evidente nella previsione di spazi di sperimentazione normativa volti a promuovere la Cybersicurezza. Da un lato, infatti, il CRA prevede la predisposizione di “cyber resilience regulatory sandboxes“, ossia di spazi di sperimentazione normativa dedicati alla Cybersicurezza. Dall’altro, l’AI Act stabilisce che le AI sandboxes devono essere finalizzate ad agevolare lo sviluppo di profili di Cybersicurezza dei sistemi di IA oggetto di sperimentazione.
In sostanza, entrambe le normative riconoscono la Cybersicurezza come una priorità’ comune e sottolineano l’importanza della sperimentazione e della innovazione in questo campo, individuando le AI sandboxes come potenziale strumento di promozione della Cybersicurezza nel settore dell’IA.
Sulla base di queste premesse, è facile prevedere che in futuro le regulatory sandbox diventeranno luoghi di dialogo empirico tra AI Act e CRA, anche in tema di sperimentazione di IA Generativa. L’auspicio è che l’Italia raccolga la sfida del regolatore europeo e si doti di spazi di sperimentazione normativi nazionali autonomi, sia nel settore dell’IA che della Cybersicurezza. In questo modo, l’Italia potrebbe porsi all’avanguardia nel settore della sperimentazione tecnologica e offrire alle aziende nazionali operanti in ambito tecnologico, soprattutto PMI e startup, una importante opportunità di sperimentazione e dialogo qualificato. Ciò potrebbe migliorare le loro capacità produttive e promuovere il loro sviluppo nel mercato digitale, consentendo loro di competere a livello internazionale e di contribuire allo sviluppo dell’economia nazionale.
A tal proposito, sono lieto di annunciare che, in collaborazione con un gruppo di ricerca coordinato dalla Scuola IMT di Lucca e dall’Università degli Studi di Firenze, stiamo lavorando alla realizzazione di un Libro Bianco in lingua inglese dedicato specificamente al tema della sperimentazione normativa in ambito di IA e Cybersicurezza. Il nostro obiettivo è fornire un contributo concreto alle autorità nazionali ed europee che saranno chiamate a costituire e gestire questi spazi di sperimentazione normativa, offrendo possibili risposte e condividendo esperienze pratiche, al fine di partecipare attivamente alla creazione di un quadro regolatorio innovativo e sicuro per l’IA in Italia e in Europa.